Принтеры «засветили» вирусную атаку

Очередной троянец, обнаруженный специалистами по безопасности, не выглядит настолько же опасным, как программы для промышленного шпионажа. Однако его действия сильно не понравились бы защитникам природы: он бессовестно расходует офисную бумагу

Компания Symantec сообщила о вспышке заражений вредоносной программой Trojan.Milicenso. Она действует весьма необычно, заставляя принтеры расходовать офисную бумагу: они печатают на чистых листах непонятные символы до тех пор, пока не израсходуют весь запас в лотках.

Картинка из анекдотов про сисадминов и «взбесившиеся» принтеры, которые печатают, что хотят и когда хотят, воплотилась самым неприятным образом. Офисы действительно оказались под угрозой очень быстро растерять все запасы бумаги для печати. Этому способствует троянец Milicenso.

Это не очередная затейливая шутка от хакеров. Такое явное проявление вредоносной программы, скорее всего, не было запланировано злоумышленниками, считают специалисты Symantec. «Воплощенная мечта» продавцов бумаги — лишь побочный эффект действий троянца. Его настоящей целью первоначально являлось перенаправление пользователей на сайты с рекламными объявлениями либо с другими вредоносными элементами. Теперь же задача «зловреда» — передача информации с зараженных компьютеров «хозяину».

«Заражая компьютер, Trojan.Milicenso создает для себя несколько файлов в системных каталогах, один из которых Windows использует для буферизации печати. В зависимости от конфигурации, любые файлы в этом каталоге могут восприниматься системой как задание для печати. Таким образом, неожиданная печать якобы случайной информации дополнительно засвечивает зараженную систему. Вряд ли злоумышленники хотели добиться подобного эффекта, скорее здесь элементарная недоработка при создании — не все варианты конфигурации ОС были учтены», — пояснил BFM.ru эксперт по информационной безопасности Symantec Андрей Зеренков.

Угроза Trojan.Milicenso была впервые обнаружена Symantec еще в 2010 году. «Наше первоначальное исследование показало, что это вредоносное ПО является средством доставки на компьютер других нежелательных программ. В частности, троянец был связан с рекламной программой Adware.Eorezo, которая была нацелена на франкоязычных пользователей», говорится в докладе Symantec. Как сообщили BFM.ru в компании, в настоящее время троянец также нацелен на «слив» информации именно на франкоязычные ресурсы.

В конце прошлой недели специалисты по компьютерной безопасности заявили о новом витке эпидемии. Точное число зараженных машин не разглашается, однако речь идет о тысячах компьютеров, сообщает Symantec. Наибольшее распространение троянец получил в США и Индии, при этом уже зафиксированы случаи инфицирования компьютеров в Европе и Южной Америке. Вредоносная программа поражает исключительно компьютеры с операционной системой Windows.

Троянец Milicenso может попасть на компьютер различными путями — например, через прикрепленные файлы в электронных письмах или с зараженных сайтов запускающих соответствующий скрипт. На такие ресурсы пользователь может попасть нажав на ссылку случайно или поверив рекламному объявлению. Кроме того, довольно часто троянец обнаруживается в полезных, на первый взгляд, кодеках, которые на самом деле являются чистой подделкой.

«Будучи запущенным на компьютере, Trojan.Milicenso создает файлы в системном и временном каталогах, после чего открывает для себя персональный межсетевой экран Windows, внося соответствующую запись в реестр. Чтобы затруднить обнаружение, он прячет свое тело в зашифрованном при помощи алгоритма RC4 файле с использованием случайного ключа, привязанного к конкретному компьютеру. Более того, свой файл он подписывает с помощью сертификата, принадлежащего Agence Exclusive, действительного до января 2012 года. На текущий момент мы не смогли обнаружить данную организацию ни среди ныне существующих, ни среди зарегистрированных ранее», — рассказал Андрей Зеренков.

По словам представителя Symantec, случаев массового распространения Trojan.Milicenso на территории России компания не фиксировала. Однако для страховки, в этом, как и во всех прочих случаях, лучше все-таки использовать актуальные версии антивирусного ПО.